понедельник, 24 декабря 2018 г.

Семинар РКН по ПДН. Отчет за второе полугодие 2018.





«Роскомнадзор в четверг, 20 декабря, провел публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за II полугодие 2018 года. Мероприятие посетило более 150 представителей организаций, обрабатывающих персональные данные.»
        В этот раз мероприятие было менее информативным. Всего два доклада, очень мало конкретной информации на слайдах. Зато было много времени выделено для вопросов из зала.

        Что было озвучено на семинаре:
1. Увеличение количества подобных семинаров, переход на ежеквартальные встречи+ в федеральных округах
2. На 52% увеличилось количество протоколов по ст.13.11 КоАП
3. РКН сильно недоволен некачественными консалтинговыми услугами по соблюдению операторами 152-ФЗ
4. РКН стал считать конкретизацию целей обработки ПДн избыточной. Жалуется, что при проверках оператор выдает им толстенные тома согласий
5. РКН относится к плану контрольных мероприятий оператора за соблюдением условий обработки ПДн как к профанации. Требует при выездных проверках реальное подтверждение наличия контроля.
6. РКН планирует внедрить механизм саморегулирующих организаций –операторов ПДн.
7. Согласие субъекта ПДн на «общедоступность данных» не означает «вседозволенность» оператора ПДн.
8. Топ типовых нарушений не изменился за отчетный период.
9. РКН часто выявляет несоответствие оформления типовых форм документов, содержащих в себе ПДн
10. Просто телефонный номер или просто автомобильный номер – не ПДн. Телефонный номер + эл.почта = ПДн. Просто эл. почта = не ответили.
11. ПДн не требует обязательного определения личности субъекта ПДн, достаточно косвенного отношения к субъекту ПДн.
12. РКН определяет системы видеонаблюдения как ИСПДн через «целевое назначение системы», но это один из факторов, влияющих на их решение. Решение будет приниматься в «ручном режиме».
13. Если субъект запросил по 152-ФЗ данные у оператора, в форме заявления с указанием фио, паспортных данных и реквизитов договора, на основании которого обрабатываются его данные, то оператор обязан дать ответ в течении 30 дней. (заявление допускается в виде бумаги или скана к эл.письму, либо с ЭП). Нарушили сроки ответа или дали отписку, будут наказывать по ст.13.11 КоАП. Судя по реакции из зала, это порождает большие проблемы у банков, которые готовы выдавать запрашиваемую информацию исключительно при личном посещении субъектом отделения банка.
14. Генпрокуратура так же хочет и применяет ст. 13.11 КоАП. Аргументируют свои полномочия КоАП  Статья 28.4. Возбуждение дел об административных правонарушениях прокурором «При осуществлении надзора за соблюдением Конституции Российской Федерации и исполнением законов, действующих на территории Российской Федерации, прокурор также вправе возбудить дело о любом другом административном правонарушении, ответственность за которое предусмотрена настоящим Кодексом или законом субъекта Российской Федерации.»
15. Если поручаете обработку ПДн третьему лицу, то ФСТЭК требует наличие лицензии на ТЗКИ у третьего лица. Обработка подразумевает выполнение требований по защите ПДн (21 приказ), а это услуги по ТЗКИ.
16. Если в предписании РКН написано привести форму уведомление в соответствие с требованиями законодательства, то отчитаться необходимо приказом об утверждении измененной формы. Доказательств того, что собрали обновленные согласия с субъектов не требуется.


      Так как прозвучала информация от РКН, что планируется вносить изменения в 152-ФЗ под европейскую конвенцию, в том числе и с обязательным уведомлением субъектов об «утечке ПДн», обратился с рекомендацией учесть при написании текстов этих изменений требования действующих приказов ФСБ в части обмена информацией субъектов КИИ (Приказ ФСБ России от 24.07.2018 N 368).

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

19 комментариев:

  1. По п. 15 мне кажется речь шла немного не о том. Если поручаете обработку третьим лицам, то необходимо оформить соответствующее поручение с обязательным выполнением требований по защите в соответствии с 21-м приказом ФСТЭК. О наличии лицензии на ТЗКИ речи не шло. Да это и не логично.

    ОтветитьУдалить
  2. Это позиция ФСТЭК, а не РКН.После основной части к Контемирову подошел представитель оператора и сказал, что имеет письменый ответ от фстэк с такими требованиями.

    ОтветитьУдалить
  3. Этот комментарий был удален автором.

    ОтветитьУдалить
  4. Алексей, добрый день!
    Прокомментируйте пожалуйста пункт 15. Это же получается, если предприятие "Оператор" поручило обрабатывать персональные данные своих работников другому предприятию "Обработчику", например, электронного документооборота, получается "Обработчик" обязательно должен иметь лицензию на ТЗКИ? Вот такой пример. Компания, в которой я работаю, заказывает авиа и ЖД билеты и бронирует проживание в гостиницах через другую компанию. Между нами заключен договор (правда в договоре нет ни слова об обработке ПДн). Для заказа всего этого мы передаём в компанию ПДн. Сейчас, с моей подачи, таки созрели до организации защиты передаваемых ПДн, будем делать VPN-туннель с ГОСТ-шифрованием. Исходя из того пункта в Вашей заметке, обработчик для взаимодействия с нами должен иметь лицензию ФСТЭК на ТЗКИ? Если это так, к кому будут вопросы в случае проверки: к нам, как к Оператору, или к ним, как к Обработчику?
    А если развить тему - раз мы собираемся использовать сертифицированное шифрование, нужно ли кокой-то из сторон (или сразу двух компаниям) иметь лицензию ФСБ на деятельность с шифровальными средствами?

    ОтветитьУдалить
    Ответы
    1. Речь идёт про конкретный случай по п.3 ст.6 152-фз. А не просто передачу третьей стороне пдн.

      Удалить
  5. По п.15, компания же не оказывает услуги по ТЗКИ, а защищает себя, зачем лицензия? ИМХО тут что то не то, иначе полстраны лицензии получать будут.

    ОтветитьУдалить
  6. Смотрите информационное сообщение от 31.07.2018 240/13/3330 на сайте фстэк

    ОтветитьУдалить
  7. https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1651-informatsionnoe-soobshchenie-fstek-rossii-ot-31-iyulya-2018-g-n-240-13-3330

    ОтветитьУдалить
  8. Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке персональных данных по его поручению в собственной информационной системе персональных данных на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79:

    ОтветитьУдалить
    Ответы
    1. А если эти пункты не указывать в договоре? Или регулятор считает, что обрабатывая ПДн другого лица, обработчик также автоматом и указывает услуги по ЗИ конфиденциальной инфы?

      Удалить
    2. аналогичную ситуацию уже обсуждали, с точки зрения лицензии СКЗИ. Можете не указывать в договоре, не поможет, защита идет автоматом. https://valerykomarov.blogspot.com/2018/11/blog-post_11.html

      Удалить
  9. Дааа, РКН как-то лихорадит ввиду того, что действующее определение персональных данных довольно таки несовепшенно. На предыдущем летнем семинаре Юрий Контемиров (восхищаюсь его подкованностью по знанию профильной нормативной базы) утверждал, что голый номер паспорта - персональные данные. И это утверждение полностью укладывается в действующее определение ПДн - любая информация, которая прямо или косвенно принадлежит определенному или определяемому лицу. Т.е., как видно, в отличие от предыдущей версии данного определения, теперь ПДн не должны идентифицировать субъекта, но достаточно просто ему принадлежать. Такой логикой выходит, что и голый номер телефона - ПДн. И если по номеру паспорта или номеру мобильного телефона достаточно сложно определить Ф.И.О. субъекта ПДн, то по автомобильному номеру совершенно легко можно установить (хотя бы) собственника, чем обычно и пользуются при покупке Б/У автомобилей.

    ОтветитьУдалить
  10. Проблема в том, что ничего субьекту не принадлежит из озвученного. Паспортные данные - реквизиты бланка Паспорта, а не человека. А бланк паспорта так же не принадлежит субьекту пдн. Так же как и телефонный номер или рег.номер авто. Те же снилс, инн и прочее - учетные номера в реестрах служб. А у РКН позиция меняется вынуждено, доказали им через другие законы, что тел.номер и рен.номер авто относятся с железкам, а не к человеку, вот и поменяли свою позицию. Я уже писал ранее, что без четкого понимания объекта защиты, невозможно обеспечить его безопасность. Никто не понимает что и зачем нас принуждает государство защищать.

    ОтветитьУдалить
  11. Интересный подход!
    Однако ИНН все же по своей морфологии принадлежит именно лицу.
    Тем не менее, РКН все же, как мне кажется, надо покумекать над определением ПДн, чтобы не слышать заявлений, что номер паспорта - ПДн, что номер телефона - не ПДн, а вот номер телефона + электронная почта - ПДн (чего такого привносит адрес электронной почты, кроме дополнительного способа коммуникации? А если указать два номера телефона?).

    ОтветитьУдалить
  12. ИНН - номер налогоплательщика, организациям так же присваивается. А РКН ничего поменять не сможет, все же базируется на международных документах. Да их и так все устраивает.

    ОтветитьУдалить
  13. Есть официальный ответ Минфина от 25.10.2018 03-01-11/76554, где однозначно указано, что ИНН не ПДн.

    ОтветитьУдалить
  14. Здравствуйте! Тоже вопрос по пункту 15.
    Компания - оператор ПДн - предоставляет услуги по оценке персонала. Со своими клиентами она заключает договор, по которому клиент поручает Компании обрабатывать ПДн своих сотрудников. Клиент посылает Оператору резюме сотрудников, а им отправляются отчеты по оценке.
    А) если эти данные Оператор, которому поручена обработка ПДн,передает по незашифрованным каналам, то нарушается закон (кстати, какой?) о недостаточной защите ПДн?
    Б) если передается по зашифрованным каналам, то «осуществляем деятельность по технической защите конфиденциальной информации» и нужна лицензия?
    Спасибо!

    ОтветитьУдалить
    Ответы
    1. Здравствуйте. А зачем прописывать в договоре "поручение обработки пдн"? Вам же просто передают пдн для проведения экспертизы. Вы же возвращаете клиенту результат работы - акт оценки полученных данных.

      Удалить
    2. Применение шифрования ещё обосновать необходимо. Это делается на этапе моделирования нарушителя по документам фсб для вашей испдн. Это всего-лишь один из методов защиты каналов.

      Удалить